伊朗支持的APT42组织针对以色列和美国的网络钓鱼活动加剧——每周威胁情报动态第210期 （01.17-01.23）

伊朗支持的APT42组织针对以色列和美国的网络钓鱼活动加剧

近日，谷歌威胁分析团队（TAG）发布报告，揭露了伊朗政府支持的APT42组织针对以色列和美国的网络钓鱼活动。该组织与伊朗伊斯兰革命卫队（IRGC）有关联，其攻击目标包括以色列和美国的政府官员、政治竞选活动参与者、外交官、智库研究人员、非政府组织成员以及学术机构等。在过去六个月中，美国和以色列占据了APT42已知地理攻击目标的约60%，其中包括以色列高级军事官员和与美国总统竞选活动有关的个人。

APT42的网络钓鱼活动在2024年2月至7月期间达到高峰，尤其是针对以色列的目标。4月，该组织加强了对以色列用户的攻击，目标包括与以色列军事和国防部门有关联的人员、外交官、学者和非政府组织成员。

APT42的钓鱼活动通常依赖于社会工程学，通过伪装成目标可能感兴趣的组织来增加可信度。例如，自2024年4月以来，APT42伪装成华盛顿近东政策研究所，针对以色列外交官、记者、美国智库研究人员等发起攻击。攻击者将电子邮件显示名称设置为与华盛顿研究所相关的合法研究人员，但电子邮件地址并非来自官方的.org域名。

APT42还注册了与合法组织域名非常相似的拼写错误域名，例如使用understandingthewar[.]org伪装成合法的战争研究机构，以及brookings[.]email伪装成布鲁金斯学会，并在针对以色列的多次活动中使用这些域名。

APT42的钓鱼工具包括GCollection/LCollection/YCollection，这是一种能够收集Google、Hotmail和Yahoo用户凭证的复杂工具。该工具自2023年1月首次被观察到以来一直在持续开发，当前版本支持多因素认证、设备PIN码和一次性恢复码。APT42还使用DWP钓鱼工具，这是一种通过URL缩短器传递的浏览器内浏览器钓鱼工具，功能相对简单。

APT42通过开源情报和社交媒体研究工具进行侦察，以识别可能未启用默认多因素认证或缺乏企业账户常见保护措施的个人电子邮件地址。APT42还研究目标账户的安全设置，通过失败的登录或恢复流程来确定配置的第二因素认证方式，以便更好地针对其初始钓鱼尝试。例如，在某些情况下，APT42识别出账户配置为使用设备提示作为可接受的第二因素，并在其GCollection钓鱼工具中增加了对这些提示的支持。APT42结合这种方法与对目标当前地理位置的了解，使得其登录和恢复尝试通常来自正确的地理位置，并使用正确的凭据和第二因素进行用户认证。

一旦APT42获得账户访问权限，他们通常会添加额外的访问机制，包括更改恢复电子邮件地址，并利用允许不支持多因素认证的应用程序使用特定密码的功能，例如Gmail中的应用程序特定密码和Yahoo中的第三方应用密码。谷歌的高级保护计划会撤销并禁用Gmail中的这些应用程序特定密码，从而保护用户免受这种攻击。

参考链接：

https://blog.google/threat-analysis-group/iranian-backed-group-steps-up-phishing-campaigns-against-israel-us/

俄罗斯支持的APT29组织与商业监控供应商使用相同网络攻击工具

近日，谷歌威胁分析团队（TAG）发布报告，揭示了俄罗斯支持的APT29组织与商业监控供应商Intellexa和NSO集团在多次网络攻击中使用了相同的漏洞利用工具。这一发现表明，商业监控技术正被国家级APT攻击者广泛利用，对全球网络安全构成严重威胁。

从2023年11月到2024年7月，蒙古政府网站多次遭遇“水坑攻击”，攻击者利用已知漏洞（n-day exploits）对访问这些网站的用户进行攻击。攻击目标包括运行iOS 16.6.1及以下版本的iPhone用户，以及使用Google Chrome浏览器的Android用户。APT29通过控制蒙古政府网站（如cabinet.gov.mn和mfa.gov.mn），在页面中嵌入恶意iframe或JavaScript代码，将用户重定向至攻击者控制的服务器（如track-adv.com和ceo-adviser.com）。这些服务器随后根据用户的设备和浏览器类型，推送针对iOS或Android的漏洞利用工具。

APT29在iOS攻击中利用了CVE-2023-41993漏洞，该漏洞影响iOS 16.6.1及以下版本。攻击者通过Canvas指纹技术识别目标设备的iPhone型号、屏幕尺寸等信息，并将数据发送至攻击者的命令与控制服务器（C2）。随后，攻击者利用WebKit漏洞下载并执行恶意代码，窃取目标设备的浏览器Cookie。在Android攻击中，APT29利用了CVE-2024-5274和CVE-2024-4671漏洞，攻击链包括侦察阶段、漏洞利用以及数据窃取。

研究人员发现，APT29在这些攻击中使用的漏洞利用工具与商业监控供应商Intellexa和NSO集团的工具高度相似。例如，APT29在iOS攻击中使用的CVE-2023-41993漏洞利用代码与Intellexa的工具完全一致；在Android攻击中，APT29利用的CVE-2024-5274漏洞与NSO集团的工具在触发机制上高度相似。

研究表明，商业监控供应商开发的漏洞利用工具正在被国家级APT攻击者广泛利用。这些攻击不仅展示了“水坑攻击”的持续威胁，还凸显了及时更新软件和应用安全补丁的重要性。谷歌呼吁用户和组织尽快应用最新的安全补丁，保持软件更新，以保护自身免受此类攻击。

俄罗斯电信巨头Rostelecom遭网络攻击

2025年1月21日，俄罗斯最大的电信服务提供商之一Rostelecom确认，其承包商的基础设施可能遭遇网络攻击，导致数据泄露。此次事件引发了对用户数据安全的广泛关注，尤其是涉及大量客户信息的潜在风险。据Rostelecom官方声明，此次数据泄露事件可能源自其承包商的系统漏洞。该承包商主要负责维护Rostelecom的企业网站（company.rt.ru）和采购门户（zakupki.rostelecom.ru），这两个平台均被黑客组织Silent Crow列为攻击目标。黑客声称已获取并公布了约15.4万个电子邮件地址和10.1万个电话号码。这些数据可追溯至2024年9月。

尽管Rostelecom表示初步调查未发现高度敏感的个人数据泄露，但作为预防措施，公司建议受影响网站的用户重置密码并启用双因素认证（2FA）。俄罗斯数字发展部也确认，此次攻击未影响国家服务门户，且没有用户敏感数据泄露。黑客组织Silent Crow的动机和背景尚不明确，但该组织此前曾声称对俄罗斯政府机构Rosreestr的网络攻击负责。此外，Silent Crow还声称对俄罗斯最大私人银行Alfa-Bank的子公司发动了攻击。然而，Alfa-Bank尚未对这些指控作出回应。

此次Rostelecom数据泄露事件是近期针对俄罗斯重要组织的网络攻击中的最新一起。此前，俄罗斯主要电子交易平台Roseltorg确认遭到亲乌克兰黑客组织Yellow Drift的攻击。此外，乌克兰黑客组织Ukrainian Cyber Alliance声称对俄罗斯互联网提供商Nodex发动了攻击，导致其网络服务中断。

俄罗斯企业和国家机构面临的网络安全威胁日益严峻。据俄罗斯互联网监管机构Roskomnadzor统计，2024年共记录了135起数据库泄露事件，涉及超过7.1亿条俄罗斯公民信息。Rostelecom总裁Mikhail Oseyevsky此前曾警告称，几乎所有俄罗斯人的个人数据都已泄露到暗网。

参考链接:

https://therecord.media/rostelecom-russia-contractor-data-breach

黑客利用MSI安装包和PNG文件发动多阶段恶意软件攻击

网络安全Intezer Labs发现了一起针对中国内地、香港和台湾地区讲中文的组织的复杂网络攻击活动。攻击者通过一种名为PNGPlug的多阶段加载器，传播臭名昭著的ValleyRAT恶意软件。此次攻击活动不仅展示了攻击者的高超技术，也凸显了中文地区组织面临的网络安全威胁。

此次攻击始于一个网络钓鱼网页，该网页诱骗受害者下载伪装成合法软件的恶意Microsoft Installer（MSI）安装包。当受害者执行该MSI安装包时，它会执行两个关键任务：一是部署一个良性应用程序，以维持其合法性假象；二是提取一个包含恶意软件载荷的加密存档。MSI安装包利用Windows Installer的CustomAction功能执行恶意代码，包括一个DLL文件，该文件使用硬编码密码解密存档。解密过程会提取核心恶意软件组件，包括一个加载器（libcef.dll）和两个包含编码恶意载荷的PNG文件。PNGPlug加载器是此次攻击的关键组成部分，它通过多种复杂技术为恶意软件的执行设置环境。它修补ntdll.dll以启用内存注入，并检测杀毒软件的存在，特别是检查360 Total Security是否安装。如果未检测到安全软件，加载器会将PNG文件的内容注入到新创建的进程中，从而执行ValleyRAT恶意软件。

ValleyRAT被归因于Silver Fox APT组织，是一种多阶段恶意软件，采用高级技术，如shellcode执行、混淆、权限提升和持久化机制。它可以监控用户活动、传递插件，并可能安装额外的载荷。此次攻击活动特别值得注意的是，攻击者将不同地区的中文用户视为统一目标，尽管这些地区在政治上存在差异。

参考链接：

https://cybersecuritynews.com/hackers-weaponize-msi-packages-png-files/

2024年恶意软件盗取超10亿密码

据Specops Software发布的《2025年被盗密码报告》显示，过去一年中，全球超过10亿个密码被恶意软件盗取，这一数字不仅揭示了用户和组织在密码管理上的薄弱环节，更凸显了网络安全领域亟待解决的问题。

报告指出，尽管许多被盗密码符合常见的复杂性要求（如长度、大写字母、数字和符号），但仍有2.3亿个密码被成功盗取，显示出密码策略的局限性。此外，像“123456”和“admin”这样的弱密码仍然广泛存在，反映出用户在密码安全意识上的严重不足。同时，“qwerty”“guest”和“student”等常见基础词汇被频繁用作密码基础，进一步增加了账户被盗的风险。

在恶意软件方面，Redline、Vidar和Raccoon Stealer成为2024年三大主要的凭证盗窃恶意软件。这些复杂的恶意软件不仅能够从网络浏览器、电子邮件客户端中窃取凭证，甚至还能攻击VPN客户端，其攻击范围之广、危害之深令人咋舌。这些恶意软件通过“恶意软件即服务”（Malware-as-a-Service）模式被网络犯罪分子广泛租用，极大地降低了攻击门槛，使得攻击手段更加多样化和高效化。

报告还指出，用户在多个账户（包括工作、个人和在线服务）中重复使用相同或稍作修改的密码，这种行为极大地增加了账户被盗的风险。一旦在安全性较低的平台上发生数据泄露，攻击者便可能利用被盗凭证访问更敏感的企业系统，如Active Directory和VPN，从而引发更严重的安全事件。被盗凭证不仅为攻击者提供了直接获取有价值数据（如个人信息、财务记录和企业机密）的途径，还可能被用于发动进一步的攻击，如网络钓鱼和更复杂的系统入侵，使攻击者能够深入组织内部系统。

参考链接：

https://hackread.com/redline-vidar-raccoon-malware-stole-1-billion-passwords-2024/

Gootloader恶意软件利用黑帽SEO技术发动攻击

近日，网络安全领域再次面临新的挑战，Gootloader恶意软件家族通过复杂的黑帽搜索引擎优化（SEO）技术，成功入侵合法网站并操纵搜索引擎结果，诱骗用户下载恶意软件，从而实现设备感染。这一攻击手段不仅展示了网络犯罪分子在技术上的“创新”，也凸显了用户和组织在网络安全防护方面的脆弱性。

Gootloader恶意软件采用多阶段感染流程，其攻击过程始于入侵合法的WordPress网站。攻击者通过在这些网站中注入恶意代码，操纵搜索引擎结果，使得被入侵的网站在用户搜索特定关键词时出现在搜索结果的顶部。这些关键词通常与法律协议或商业文件相关，极具迷惑性。当用户访问这些被操纵的网站时，会被引导至一个伪装成论坛页面的虚假页面，页面声称提供了用户所需的内容，并提供了一个下载链接。然而，用户点击该链接后，实际上会下载到Gootloader的第一阶段恶意载荷——一个高度混淆的JavaScript文件。这一过程利用了用户对合法网站的信任，使其在不知不觉中成为攻击的目标。

从技术层面来看，Gootloader的攻击手段极具隐蔽性和复杂性。攻击者通过WordPress数据库表“backupdb_wp_lstat”阻止同一IP范围内的重复访问者在24小时内再次访问，从而避免被轻易发现。同时，他们通过注入恶意代码到WordPress插件（如Hello Dolly）中，维持恶意软件的持久性。此外，Gootloader利用高度混淆的JavaScript代码作为第一阶段载荷，并通过base64编码和自定义参数与命令与控制（C2）服务器通信，进一步增强了其隐蔽性。

在黑帽SEO方面，Gootloader通过多种手段操纵搜索引擎结果。攻击者在被入侵网站中注入隐藏的关键词元素，创建与搜索查询完全匹配的虚假论坛讨论，并操纵WordPress数据库以向搜索引擎提供恶意内容。这些手段使得被入侵的网站在搜索引擎中排名靠前，增加了用户点击恶意链接的可能性。尽管Gootloader最早于2018年被发现，但它仍然是一个活跃且不断进化的威胁。攻击者长期使用了包括my-game[biz在内的多个基础设施，这些域名与Gootloader的起源密切相关，且攻击者频繁更换C2服务器的IP地址和域名，增加了追踪和阻断的难度。

FunkSec勒索软件组织利用人工智能技术发动全球网络攻击

近日，一个名为FunkSec的勒索软件组织凭借其创新性的人工智能（AI）技术手段，迅速成为全球网络安全社区关注的焦点。该组织自2024年底以来发动了一系列网络攻击，报告指出其已实施超过80起网络攻击事件，其攻击行为融合了黑客主义与网络犯罪的双重特征，对全球组织构成严重威胁。

FunkSec组织的勒索软件采用Rust编程语言开发，因其复杂性和高效性引起了安全分析师的高度关注。调查显示，该组织可能利用AI工具辅助编写和优化恶意软件代码，从而更有效地绕过安全防御机制。此外，一名疑似来自阿尔及利亚的开发者意外泄露了部分勒索软件代码，为网络安全研究人员提供了深入了解其功能的机会。

FunkSec以勒索软件即服务（RaaS）模式运营，向附属机构提供恶意软件，后者则负责实施攻击，并在勒索所得中分得一定比例。该组织采用双重勒索策略，即在加密受害者关键文件的同时，威胁若不支付赎金便公开被盗信息。为协助其运营，FunkSec还创建了一个地下数据泄露网站，用于展示被盗数据，并提供分布式拒绝服务（DDoS）攻击能力、凭证盗窃工具以及允许远程控制受感染系统的软件等网络犯罪工具。

FunkSec的起源可追溯至2024年10月，当时一个名为“Scorpion”的网络人物在地下论坛中首次提及该组织。随后，“El_Farado”和“Bjorka”等其他人物也与该团伙的扩张联系在一起。调查人员注意到，FunkSec在沟通中存在风格差异，部分材料表现得极为专业，与其通常的非正式风格形成鲜明对比，这使得专家推测该组织可能利用AI生成内容以提升其信息传递和网络钓鱼策略的可信度。

FunkSec的勒索软件设计用于在加密文件之前禁用安全功能，如防病毒程序、日志机制和备份系统，并为加密后的文件添加“.funksec”扩展名。该组织的勒索要求相对较低，通常从约1万美元起步，使其攻击行为能够针对更广泛的潜在受害者。此外，他们还以折扣价向其他威胁行为者出售被盗数据，进一步扩大其在网络犯罪生态系统中的影响力。

尽管FunkSec的攻击行为主要出于经济动机，但该组织还试图与黑客主义事业挂钩，例如以支持“自由巴勒斯坦”运动为名，针对美国和印度等国的实体发动攻击。然而，网络安全分析师对这些声称持怀疑态度，指出其泄露的部分数据似乎是从以往的数据泄露事件中回收而来。

尽管FunkSec在网络威胁领域尚属新晋势力，但其对AI的创新性运用以及不断演变的攻击策略使其成为一个不容小觑的威胁。安全专家强调，组织应采取积极措施，如定期更新系统、对员工进行网络安全最佳实践培训以及实施强大的访问控制，以应对FunkSec等新兴勒索软件威胁。

参考链接：

https://www.cysecurity.news/2025/01/funksec-ransomware-group-ai-powered.html

新型Contacto勒索软件利用高级技术绕过杀毒软件检测

近日，一种名为“Contacto”的新型勒索软件被发现，其凭借先进的技术手段成功绕过杀毒软件检测，并通过Windows控制台执行加密操作。据网络安全研究人员报告，Contacto勒索软件首次于2025年1月初被检测到，其设计初衷是为了最大限度地绕过杀毒软件的检测，并对受害者系统造成最大破坏。该勒索软件通过一系列复杂的执行和加密机制，确保其攻击行为难以被发现和阻止。

在执行过程中，Contacto勒索软件展现出极高的隐蔽性。它通过获取控制台窗口句柄并使用ShowWindow()函数隐藏该窗口，从而避免用户看到命令提示符，使其执行过程更加隐秘。此外，Contacto通过创建一个名为“ContactoMutex”的互斥锁来确保同时只运行一个实例，如果检测到该互斥锁已存在，则会自动退出，避免重复加密。为了提升系统控制能力，Contacto尝试启用一系列Windows权限，包括SeDebugPrivilege、SeRestorePrivilege和SeTakeOwnershipPrivilege，从而获得对系统的广泛控制权。在加密过程中，Contacto支持多种加密模式，包括“完整”、“快速”、“分割”和“自定义”，攻击者可以根据其目标灵活选择加密策略。

Contacto勒索软件还通过多种手段操纵系统，以阻碍恢复工作。它通过修改注册表禁用Windows Defender，删除卷影副本，清除事件日志，并清空回收站，从而最大限度地减少受害者恢复数据的可能性。此外，Contacto采用多线程加密方法，创建的线程数量是可用处理器数量的两倍，以优化加密速度。研究人员指出，Contacto的加密过程涉及多个复杂步骤，包括动态密钥生成、基于块的数据转换、密钥演化以及分层混淆策略。这些技术不仅提高了加密效率，还增加了恢复数据的难度。

为了维持持久性，Contacto创建了一个名为“Windows Update BETA”的虚假计划任务，该任务以SYSTEM权限运行，并在每次启动时自动执行。加密完成后，勒索软件会更改桌面壁纸以显示勒索信息，并执行自我删除操作，以掩盖其踪迹。

参考链接：

https://cybersecuritynews.com/new-contacto-ransomware-evades-av-detection/